Create Your eSignature to the Get Reginfo

- Hallo. Herzlich Willkommen. Wir reden.heute über RFC Security und mit mir dabei.ist Torsten. Torsten, du hast .mir einen Blogbeitrag mitgebracht..Erzähl doch mal: Worum geht es beim Thema \"secinfo und reginfo Generator für SAP RFC Gateways\"?.- Die secinfo und reginfo sind zwei Dateien, die für das.Gateway benutzt werden, für das SAP RFC Gateway und.die sind dort für die Security zuständig, die.regeln die Zugriffe über das.Gateway. .- Das heißt ich kann mit den Dateien.einstellen, wer auf das Gateway zugreifen.kann. Vielleicht jetzt noch mal einen.Schritt zurück: RFC Verbindungen?. Wofür brauche ich die?.- RFC Verbindungen sind.ganz wichtig, um sein System nach außen.anbinden zu können,.sei es über mobile Anwendungen oder.andere Monitoring Programme. Alles geht.über RFC, was nach außen geht..- Okay, also das ist so Schnittstellen-.Kommunikation: SAP spricht RFC mit.anderen Systemen können, andere.Systeme sprechen RFC mit SAP. Das alles.geht dann über dieses RFC Gateway..- Genau, richtig.- Und jetzt gibt es da irgendwie ein Risiko? Also Security.Herausforderungen, wie man so schön sagt?.Genau. In dem Moment, wo ich eine.Schnittstelle habe, kann sie ja natürlich.auch ausgenutzt werden aus bösen.Gründen und das muss entsprechend.blockiert werden und geregelt werden und.genau dafür sind die beiden Dateien \"secinfo\" und \"reginfo\" da..- Okay, alles klar. Du.hast gesagt im Vorfeld: Du kannst mir das auch zeigen..- Genau, dann würde ich.sagen: Machen wir das direkt. Um die Dateien anzugucken, müssen wir über.den Gateway Monitor gehen und dort über.den Menüpunkt \"Springen\" -> \"Experten-.funktionen\" -> \"Externe Sicherheit\" und \"Anzeigen (secinfo)\" und \"Anzeigen (reginfo)\" kann.man sich die beiden Dateien anschauen..Fangen wir einfach mal mit der.secinfo an und hier sehen wir was.ganz Interessantes. Hier unten ist.nämlich ein Eintrag, also vorweg: Ein.Sternchen bedeutet eben alles, also das ist.eine Wildcard einfach.und hier unten ist ein Eintrag, der.alles frei gibt. Jeder Nutzer darf von.jedem Netzwerk aus jedes Programm - TP.steht für das Programm - auf jedem Zielrechner ausführen und dadurch sind die.drei Einträge hier oben total.überflüssig. Also \"local\" steht übrigens.für den Applikationsserver, auf dem.ausgeführt wird bzw..für den Rechner, von dem der Nutzer kommt.und \"internal\" für das gesamte SAP System,.also alle Applikationsserver des.Systems..- Okay das heißt noch mal kurz: Was kann.ich machen mit solchen RFC Aufrufen?.Ich kann ja zum Beispiel Programme.aufrufen..Ich kann auf dem SAP Server eine.Datei im Windows und Linux, was auch.immer, ausführen. Zum Beispiel: Ich.könnte ein Backup anstoßen, ich könnte aber.auch das File System löschen..-Genau du hast da eigentlich freie Wahl..- Okay und.die Einstellung würde jetzt bewirken,.dass das jeder in meinem Netzwerk machen kann..- Genau und die Einstellung würde.sogar bewirken, dass es nicht nur jeder in.deinem Netzwerk kann, sondern dadurch dass die.USER-HOST-Angabe auch auf ein Sternchen.gesetzt ist, dass es sogar jeder machen könnte..- Okay das heißt: Es erfolgt da auch.keine weitere Passwortabfrage oder.Ähnliches, sondern ich kann das einfach.aufrufen? Das heißt: Ich habe einen.Rechner im LAN, im WAN, der macht eine.Verbindung zum SAP auf und ich kann.dann ja entsprechend böswillige.Handlungen vornehmen oder mich irgendwo.einnisten. Okay gut, also das ist schlecht..- Ja das kann man so sagen..- Also das heißt: Das muss besser konfiguriert.werden, also so ein kompletter Sternchen-Eintrag .- wäre dann wirklich sehr kritisch,.äußerst kritisch..- Hat auf der anderen Seite den Vorteil: .Alles funktioniert..- Das kann man so sagen..- Okay, alles klar. Jetzt hattest du noch eine.zweite Datei..- Genau. Das ist die reginfo. Die schauen wir uns auch.einmal direkt an.dafür gehen wir wieder zurück und über.die \"Expertenfunktionen\", wie gerade schon:.\"Externe Sicherheit\", \"Anzeigen (reginfo)\".und hier haben wir eigentlich genau.das selbe. Wir haben eine Sternchen-.Ausprägung, hier unten, dass jedes.Programm registriert werden darf und die.beiden HOSTs \"local\" und internal werden.auch von dem Stern wieder überschrieben,.weil der eben alles freigibt.und auch hier wäre alles ohne.Einschränkungen möglich. Es könnten.externe Programme, RFC Programme registriert,.die von jedem gestartet werden können..- So Registrierung: Das ist.auch so ein bisschen ein ABAP.Programmierung-Ding. Da ist sozusagen.das Feature: Ich kann mich bei dem SAP.System registrieren als Service.Dienstleisters sozusagen. Also ich.kann aus meinem ABAP-Programm heraus ein.Programm aufrufen und das wird dann aber.nicht auf dem SAP Applikationsserver.ausgeführt, sondern auf einem entfernten.System, hat aber natürlich den.Nachteil, wenn das jetzt ein böses.entferntes System ist, das könnte dann.natürlich entsprechend auch, wie auch.immer, Daten dadurch abziehen,.irgendwas registrieren, was so.gar nicht vorgesehen war, dass es.entfernt ausgeführt wird und so weiter und so fort..-Genau..- Okay also das ist auf jeden Fall auch etwas,.wo kein kompletter Stern reingehört..- Richtig, genau..- Weil da auch keine weitere Sicherheitsabfrage ist..- Wie gesagt:.Anmeldung muss nicht sein an dem Fall,.der eigentliche Sinn ist für.Monitoringzwecke beispielsweise, aber.kann eben auch andere Betriebssystem-.kommandos ausführen..Man kann Daten auslesen, Daten.einfügen, wie es einem.beliebt und auch eben Daten löschen..- Okay so jetzt mal angenommen: Ich habe das.jetzt, mein EHP System. Ich habe nachge-.guckt: Mist, recinfo, secinfo ist jetzt.irgendwie mit Sternchen konfiguriert..Trifft das denn jeden?.Also was muss ich dafür machen, dass es.überhaupt aktiv ist oder was ist da die.Voraussetzung?.- SAP Gateway hat immer eine secinfo- und reginfo-.Datei, zumindest hat es immer die.Möglichkeit, diese auszulesen. In der.Standardkonfiguration sind die nicht.da. Da wird nur die reginfo und secinfo, wie.wir sie hier sehen, genutzt ohne die.komplette Sternchenausprägung, also so,.dass im internen Netzwerk alles freigegeben ist..- Okay, also erstmal ein etwas sicherer.Default, aber kann ich mich nicht.darauf verlassen?.- Nein, auf keinen Fall..-Weil es könnte, sobald jemand.so eine Datei anlegt, irgendwie da.hochlädt, würde die dann greifen..-Genau, richtig..- Gut, gibt es sonst noch was an Parametern, was.da noch eine Rolle spielt zur.Konfiguration von den ACL-Dateien?.- Den gibt es. Den können wir auch direkt.mal angucken..Dafür gehen wir noch mal einen Schritt.zurück und wieder über \"Springen\" -> \"Parameter\" ->.\"Anzeigen\". Hier gibt es einen ganz wichtigen,.nämlich den ACL Mode. Ist der auf 1 und.die Dateien sind nicht vorhanden, sind.wir bei dem Fall, den ich gerade erklärt.habe, dass das interne Netzwerk.freigegeben ist. Das ist die Default-.Einstellung. Ist der auf 0, ist.einfach alles freigegeben..- Okay, also dann greifen die Dateien nicht. Also dann ist das sozusagen die Übersteuerung..Das wäre dann eine unsichere Konfiguration, weil dann kann ich mit den secinfo- und den reginfo-.Dateien dann sowieso nichts machen..- Das ist gleichzusetzen mit.einer Sternchenausprägung, weil .eben alles freigegeben ist..- Okay, alles klar, verstanden..Gut, so der Beitrag, den du.geschrieben hast, war ja dann auch über:.\"Nicht nur das Problem erkennen, sondern.das Problem lösen\"..Wie gehe ich jetzt vor? Mal angenommen: Ich.habe da jetzt die Sternchen drin. Ich möchte.natürlich ja jetzt nicht irgendwie.komplett alles lahmlegen, indem ich daran.rumarbeite. Was sind denn da jetzt.die best Practices, um irgendwie dem.Herr zu werden?.- Es gibt zwei Möglichkeiten, die von SAP.selbst vorgegeben oder empfohlen werden:.Einmal ein restriktives Vorgehen. Bei dem.machst du erst mal alles zu und gibst.schrittweise frei, aber, wie du gerade.schon gesagt hast: Du möchtest jetzt ja nicht.gerade deinen ganzen Ablauf unterbrechen,.was aber dann der Fall wäre,.weil eben erstmal alles blockiert ist und du.schrittweise freigeben musst..- Also das wäre die harte Nummer sozusagen..- Das wäre sicher, da kann man.ziemlich stark von ausgehen, dass es eine.sichere Variante ist, weil es ist ja erstmal.alles blockiert und du gibst.schrittweise das frei, von dem du weißt:.Das willst du haben oder willst du erlauben,.aber ja wie gesagt: Das blockiert alles..- Okay was ist die etwas nervenschonendere.Variante, die nicht dafür sorgt, dass gleich.User mit brennenden Fackeln vor meiner.Tür stehen?.- Ob es wirklich nervenschonender ist, lassen wir mal offen für.den Moment, aber es gibt noch eine.Variante, bei der man erstmal ein.Logging anstellt über das Gateway, das.können wir gleich noch mal zeigen, und.erstmal guckt: Was passiert in meinem.System und dann basierend auf dem Log.sein Gateway oder seine secinfo- oder reginfo-Dateien anpasst. Dadurch ist erst-.mal nicht alles blockiert und man.kommt eigentlich zum selben Ergebnis..- Das heißt: Ich gehe erstmal in so einen Lernmodus. Kannst du das mal zeigen, wo.ich mir das Log ansehen kann? .- Das geht auch wieder über den Gateway.Monitor und da gibt es die Funktion.\"Logging\" im Abschnitt der \"Experten-.funktionen und hier gibt es einige.Einstellungen, die man treffen kann.bezüglich der Log-Events. Der Punkt, der.für uns wichtig ist, ist der Punkt der.Sicherheit. Der Haken muss drin sein, weil.dann kommen die Einträge, die uns.interessieren und wir können uns einfach mal eine Log-.Datei anschauen. Man kann hier über diesen Button.die aktuelle angucken. .Ich würde vorschlagen: Wir gehen einfach.mal auf eine ältere, weil das auch.durchaus richtig sein könnte, wie man.hier sieht, schalten die in einer.Standardkonfiguration wöchentlich um.und ich würde vorschlagen wir gucken.einfach mal eine ältere.- Vielleicht an der.Stelle bei dem Logging: Kann ich das.dann auch konfigurieren? Also.ich muss dann auch aktiv wirklich diese.Events aktivieren, damit ich entsprechend.die Protokolleinträge erzeuge, die ich dann für die Auswertung brauche..- Und über die AL11 gehen wir einfach mal in.das Work-Verzeichnis unseres SAP Systems..Dort liegen bei uns jetzt die Log-Dateien.und wir nehmen einfach mal die vom 15.04.und sehen hier schon, dass etliche \"secinfo accepted\"- und \"reginfo accepted\"-.Einträge vorhanden sind und anhand von.diesen Informationen können wir dann.unsere secinfo- und reginfo-Datei aufbauen..Das setzt natürlich voraus, dass in.dem Zeitraum, den ich gerade betrachte.und deswegen haben wir auch gerade eine.ältere angeguckt, alles geschehen ist, was.denn so geschehen soll.und da in einer Log-Datei vermutlich.nicht alles drin steht, ist es oft.hilfreich, auch mal die alten anzugucken..- Okay dass ich mir das dann eventuell ergänze,.mehrere Log-Dateien einsehe..- Genau, richtig..- Alles klar, verstanden okay. So jetzt steht in der.überschrift ja noch hier: secinfo, reginfo.Generator. Du hast da mal was.vorbereitet, also nochmal einen weg, wie.du einfacher Log Files parsen kannst..Erklär doch mal: Wie funktioniert das?.- Das zielt darauf ab. Als du gerade gesagt hast: Das.hier ist die nervenschonendere.Variante, war ich noch ein.bisschen eingeschränkter. Das ist an sich.erstmal nervenschonenderer, aber das.Problem ist eben, wie man schon sieht:.Das ist eine Log-Datei von einem kleinen.Testsystem. Man kann sich vorstellen: In.einem richtig großen unternehmen, wo.etwas mehr im System passiert, dann so.eine Log-Datei manuell durchzugehen:.Das ist schon ganz schön.nervenaufreibend und deswegen haben wir.einen oder habe ich ein Generator.entwickelt, der das eben abnimmt. Diese.initiale Erstellung der Liste wird dadurch.abgenommen und eben auf Basis der Log-Informationen eines secinfo und reginfo gebaut..- Okay, ja sehr gut. Ist ja nützlich dann in einem.Projekt im Betrieb und du kannst dann damit.entsprechend dieser Analysen fahren und.dann so bessere secinfo- und reginfo-Datei aufbauen. Zeig doch mal!.- So sieht der Generator aus. Man hat hier.die Funktion eine Datei auszuwählen, also.die Log-Datei auszuwählen. Nehmen wir einfach mal.die von gerade, klicken auf den Button.\"Starte Generierung\" und nachdem die.Dateien generiert worden sind, sehen wir.hier die Ergebnisse und beispielsweise.hier in der secinfo wenn wir uns noch daran.erinnern an die Log-Einträge von gerade:.Das sind eben die, die wir dort.vorgefunden haben in dem Format einer.secinfo-Datei, angepasst darauf..- Okay, also das ist das Log-File, was wir.eben gesehen haben jetzt geparst, übersetzt in.eine reginfo- und secinfo-Datei.und die könnte dann entsprechend.heruntergeladen werden hier von dieser.Seite und dann hochgeladen werden auf.den Applikationsserver, um da da dann.aktiviert zu werden..Okay, ja sehr schön. Du hattest erwähnt:.Was muss ich dafür machen, um die Datei.dahin zu kriegen?.Kann ich das einfach.runterladen vom Applikationsserver und.dann als Text-Datei, .txt-Datei dann.da hochladen, so wie du das jetzt gerade.gemacht hast, aber muss ich da auf irgendwas achten?.- Das Runterladen geht beispielsweise.über die Transaktion CG3Y und CG3Z zum.Hochladen der secinfo- oder reginfo-Datei. .Bei der Log-Datei ist zu.beachten, dass sie ein txt Format.beziehungsweise eine txt-Dateiendung.haben und UTF-8-codiert sein muss,.das sollte man noch beachten..- Gut das war spannend und hilft uns ja.auch weiter auch im Projekt im Betrieb.mit der mit der RFC Security. Vielen Dank.dafür..Ich hoffe, es war.interessant für euch, die Informationen.hier zum Thema reginfo und secinfo. Ich.verlinke auch den Generator hier direkt.unter dem Beitrag..Wenn das Thema interessant war, würde ich.mich über einen Kommentar und eine.Bewertung freuen und natürlich auch:.Bleibt uns gewogen, auf ein Wiedersehen..Bis dahin!.